Na poslednej Black Hat konferencii sa objavilo množstvo zaujímavých hostí, ktorí prezentovali fantastické objavy na poli bezpečnosti. Medzi nimi sa objavil aj Matt Lewis, zo spoločnosti Information Risk Management Plc., ktorý odprezentoval zaujímavý Biologger. Toto zariadenie funguje podobne ako keylogger, až nato, že zbiera biometrické dáta. Zariadenie sa zapája medzi biometrický skener a server, ktorý spracováva biometrické dáta. Zároveň s týmto zariadením publikoval Lewis aj jeho zdrojové kódy ako POC.
“Je to biometrický ekvivalent k bežnému keyloggeru,” povedal Lewis. Bologger poľahky “odpočúva” komunikáciu medzi biometrickým skenerom a serverom a získane informácie ukladá do internej pamäte. Útočník môže následne tieto dáta z Biologgeru získať, analyzovať, a vyrobiť originálny biometrický obraz, ako napríklad odtlačok prsta. Útočník môže potom získane dáta použiť úplne ľubovoľným spôsobom rovnako, ako keby bol skutočný majiteľ.
Najväčším problémom útočníka nie je odchytiť biometrické údaje, ale dostať zariadenie do siete. Ak sa mu to podarí, celý ďalší postup je, podľa slov Lewisa, úplne triviálny. “Získať prístup do siete je samozrejme možne fyzickým prístupom, alebo, ak to umožnia okolnosti, získať prístup za pomoci zneužitia zraniteľnosti siete cez Internet,” dodal Lewis.
Ako je teda možné, že Biologger funguje tak jednoducho? Môže za to fakt, že zaznamenané biometrické údaje sú posielané počas autentifikácie nekryptovane a tak je ich možné bez najmenších problémov odchytiť a zneužiť. “Jediná možná obrana proti mnou popísanému útoku je použiť čo najsilnejšie možné šifrovanie celej komunikácie po sieti a rovnako aj databázy, v ktorej sa budú údaje uchovávať,” povedal Lewis.
Biologger bol vytvorený ako testovací nástroj pre penetračné testovanie biometrických systémov.
Aby toho nebolo málo, včera Nemecká hackerská skupina CCC (Coumpter Chaos Club), o ktorej som sa už zmieňoval, publikovala vo svojom časopise otlačok prsta Ministra vnútra, Wolfganga Schauble-a, ako protest proti novým biometrickým pasom, ktoré Schauble vehementne podporuje. Medzi veľkými “fanúšikmi” tejto technológie je aj Angela Merkel-ová, Kancelárka Nemecka. CCC sa vyhráža, že ak sa v tejto otázke nezačne nová diskusia a vláda neprehodnotí celý návrh, budú publikovať otlačky prstov aj ďalších jej členov.
Podľa vyhlásenia skupiny CCC, otlačok Schauble-ho prsta získali z pohára, z ktorého pil pri panelovej diskusii minulý rok na Nemeckej univerzite. Otlačok prsta bol publikovaný v časopise Die Datenschleuder na kúsku plastu. Ten môže 4,000 odberateľov použiť na zneužitie totožnosti ministra. CCC publikovalo pred niekoľkými rokmi niekoľko článkov o slabej ochrane biometrických zariadení.
U nás sa biometrické pasy začali vydávať počiatkom tohoto roku, no nevyvolali prakticky žiadnu vlnu nevôle.
Zdroj: DarkReading, Wired
Jak slysim nebo ctu o BIO pasech, bere me cert.
Rekl bych, ze tohle bude jeste velky pruser.
Uz technologie RFID chipu nestoji za moc(the encryption on UK passport chips was broken in under 48 hours-wikipedia), a ted jeste dalsi dira, kudy se mohou otisky dostat ven. Ze se data budou posilat nekryptovane, by me ani ve snu nenapadlo(to musel vymyslet blbec).
Napriklad v uk se straceji dulezita data alespon jednou mesicne.
Pokud se nekdo dostane treba k cislum kreditnich karet, tak to neni az takovy problem, protoze se daji zablokovat a vygenerovat nove, ale co otisky?? tezko si budeme menit otisky, i kdyz do budoucna, kdo vi, mozna BLACK HAT pomuze. snad i v tom casopise od CCC je nejakej navod :-)
Je skoda, ze to tu nectou politici a urednici, kteri rozhoduji o nasich zakonech.
Vubec by me zajimalo, jak muzou neco nasazovat masove, pokud se o tom vi, ze to nefunguje tak jak ma.
Nejhorsi na tom je, ze to snad EU vyzaduje mit v novych pasech, ktere nam uz za pul roku zacnou rozdavat. zpousta lidi argumentuje tim, ze jsou cestni, ze jim nevadi rozdavat sve otisky, protoze nikdy nic neudelali a neudelaji, ale o tom to prece neni.
Nevim, jestli si vsimate, ze o techto dulezitejch vecech se stejne rozhoduje bez nas(viz. radar). Vzdyt je to jak za komancu, akurat na banany nemusim cekat. Demokracii sice mame, plkat si muzeme co chceme, ale stejne nikdo neposloucha a ty hrosi ve vlade si akurat lobujou a hrabou do svych kapes. Lidi kdy my se zase probereme?!
Je to hnus!
P.S. Rad bych se zapojil do jakehokoliv bojkotu vuci BIO Passportum, tak ze pokud by byl nekdo akcni a neco organizoval, dejte vedet :-P
Praveze ja sa obavam ,ze slovo “demokracia” je len prostriedok na vymyvanie mozgov ludi.
Pretoze to,ze mame raz za 4 roky sancu zvolit si zastupcov do vlady (a pritom nikto nemoze dokazat ze volby nie su len nahrane a zmanipulovane),a potom sa mozme cele vladnuce obdobie necinne prizerat co sa to kua deje,to nie je demokracia.
A co sa tyka biometrickych pasov ale aj mnoho inych veci ako biopaliva,RFID,globalizacia,
podla mojho nazoru sa slepo rutime do zahuby.
Bol by som strasne rad keby sa aspon Cesi umudrili a poslali radar aj s amikmi do ,
ale verim ,ze odolovat americkej lobby s obrovskimi kontami ,nie je vobec jednoduche.
nuz, co chceme, to mame. ja som tuto vladu nevolil a ti co ano, su spokojni. uz som par takych stretol a su viac nez nadseny, cize co sa tyka volieb, toho by som sa nebal. obyvatelia robia vladu. keby ludia neumoznili robit tieto svinstva a pytali a sa a skumali, inak by to vyzeralo.
a co sa tyka “noviniek” ako biopaliva, ludia su prilis pohodlny a kratkozraky, ich nezaujima aky vplyv to bude mat na svet za 5 ci 10 rokov
Heh, o slavnych biopalivach, pridavani bio slozek do beznych paliv, stejne jako o jinchy bio- a eko- nesmyslu uz bylo napsane a natlachane spousta. Hezke clanky o tomto pise dfens, ale to uz nespada do tohoto tematu.
Kazdopadne, bezdratovym vecem verim jeste min, nez tem s dratem. RFID je sice vynalez uzitecny, ale mel by se pouzivat tam, kde byl puvodne navrzeny (logistika, vicemene), no a Biometricke doklady je uz jen posledni kapka. Za chvili bude povinne mit RFID chip zasity v kuzi. Jasne, odpadne pouzivani dokladu, zvysi se rychlost pouzivani dokladu/platebnich karet a navic, jde prece take o nasi bezpecnost! A Velkej Bratr se potichoucku zacina smat. To, co nam ma pomahat, chranit nas a usnadnovat nam zivot se da kvuli odflaknutemu designu (at uz kodu, pripadne technologie jako takove) jednoduse zmenit na vec, ktera zpusobi pravy opak. Krast a podvadet v tom pripade bude snadne, protoze kdo umi tyto informace zkopirovat a spoofnout je bude nejspis schopny take zneuzit. A dokazovat to bude taky pomerne sranda, diky all-in-one technologii (copak nejake vzorky dna, pripadne otisky prstu budou neco znamenat? Staci prece par zapisu do databaze a vsechno bude OK. No, nemuzu se dockat techto skvelejch technologii, to bude parada…
k bio pasom:
zas sa neplaste, ono to nie je az tak lahko zneuzitelne a falsovatelne ako by sa mohlo z bulvarnych sprav zdat…
- hlavny zmysel tej biometrie je aby sa dalo overit, ze naozaj ten-ktory pas patri tomu-ktoremu obcanovi -> teda pasy sa da tazko sfalsovat
- ze tam je RFID, tak to je len ze je nutne tie data nejako preniest… vsetko ma svoje za aj proti samozrjeme – napriklad uz nejaki tipci demonstrovali bombu co sa odpali ked okolo prejde niekto s americkym pasom;) … kupte si specialny obal na pas, aby vam ho nikto nemohol len tak citat – napr. http://www.idstronghold.com/products.php?s=2&b=2
- nieco o formate a pouzitej kryptografii v tych pasoch najdete v starsich cislach crypto world – http://crypto-world.info/index2.php
… ale suhlasim, ze sa postupne vzdavame sukromia a cim viac nas ovlada ten velky brat:-/ … a po tom co som videl zeitgeist, tak vidim konspiracne teorie tiez vsade :)
… a to vsetko kvoli tym zlym teroristom, co sedia na ropnych poliach :-D
no podla mna to lahko zneuzitelne je. rovnako ako napriklad platobna karta. pre neznalu osobu je to nepredstavitelne, ale ked sa o to zaujimas, prides na to, ze je to primitivny system obohateny o trosku bezpecnostnych prvkov. takto je to aj s biometrickymi udajmi a rfid. preco by som mal mat pas vo specifickych obaloch. ja taky pas nechcem a hotovo. moj pas plati az do 2015 a dovtedy uz budem byvat v krajine, ktora taketo pasy nevydava, alebo prestanem cestovat. zarucene nemienim rozdavat moje otlacky a ine bio udaje len tak, lebo si niekto povedal
ja napriklad tiez teraz zvazujem, ze ci sa mam ist kuknut do USA (kedze tam maju krasnu prirodu) – nie som si isty, ci chcem vyplnat ich plno drbnutych tlaciv, nechat s abuzerovat a nechat im svoje odtlacky v ich databaze na dalsich 50 rokov :-/
ono sa lahko povie, ze nebudem cestovat, alebo ze sa prestahujem do inej krajiny … alebo v extremnom pripade ze do konca zivota budes byvat uprostred ruskej tajgy aby nikdo o tebe nic nevedel… lenze clovek je spolocenska bytost a teda vzdy o tebe niekto nieco vie, lebo chces zit v spolocnosti inych ludi – cela chyba na tom je, ze sa najdu jedinci, co to zneuziju
s tou biometriou je to take … vpodstate su to verejne znaky (nie su nejak specialne tajne) a su nemenitelne – teda sa daju pekne pouzit na identifikaciu …a tym padom aj teoreticky zneuzit na predstieranie inej identity
..ale este horsie to bude, ked sa bude uchovavat DNA, lebo z tej sa toho da vycitat vela – nie len identifikovat osobu…
uchovavanie dns podla mna neprejde tak lahko, to mnoho ludi nedovoli. kazdopadne ano, clovek je tvor spolocensky a preto musime ako spolocenstvo tlacit na organy. taketo veci nam nemozu predsa robit
DNA sa uz uchovava – zlocinci v USA a UK …tu som o tom daco napisal: http://mazanec.eu/blog/2008-03-26/dna-databaza-na-identifikaciu-zlocincov/
… takze aj ked ludia len tak nedovolia dobrovolne uchovavat svoju DNA, staci ak to dovolia v urcitych pripadoch :-/
USA a UK bolo vzdy pekne zmagorene v tychto veciach. ja dufam ze my tak nedopadneme, aj ked s ujom premierom neviem neviem